Multi-Faktor-Authentifizierung ist eine der besten Sicherheitsgewohnheiten, die Sie haben koennen. Umso beunruhigender ist es zu hoeren, dass Angreifer sie umgehen. Die ehrliche Antwort auf die Frage „kann MFA umgangen werden?" lautet ja, die gaengigen Arten schon, und 2026 geschieht das in grossem Umfang. Doch das ist kein Grund, MFA fallenzulassen. Es ist ein Grund zu verstehen, welche Art Sie verwenden, denn die Loesung ist real und in Reichweite.
Der Anstieg 2026
Sicherheitsforscher haben einen starken Anstieg von Phishing-Kits gemeldet, die speziell darauf ausgelegt sind, MFA auszuhebeln. Toolkits mit Namen wie Tycoon 2FA und andere agieren als Echtzeit-Proxys, die Anmelde-Sessions abgreifen, waehrend sie stattfinden. Berichte deuten auf einen enormen Sprung bei der phishing-Aktivitaet hin, in der Groessenordnung eines Anstiegs um 1.380 Prozent zwischen Ende 2025 und Anfang 2026, getrieben von guenstigen, KI-gestuetzten „phishing-as-a-service"-Kits, die es auch wenig versierten Angreifern ermoeglichen, ueberzeugende Kampagnen zu fahren. Die Huerde, gewoehnliche MFA zu umgehen, ist gesunken, weshalb es sich lohnt, das jetzt zu verstehen.
Wie Angreifer Ihre Session stehlen (AiTM)
Die wichtigste Technik ist adversary-in-the-middle-phishing (AiTM), und der raffinierte, fiese Teil ist, dass Ihre MFA tatsaechlich funktioniert. Der Angreifer stiehlt einfach das Ergebnis.
So laeuft es ab. Sie klicken auf einen Link und landen auf einer gefaelschten Anmeldeseite, die in Wirklichkeit ein Live-Proxy zur echten Seite ist. Sie geben Ihr Passwort ein, der Proxy leitet es weiter. Die echte Seite fragt nach Ihrem MFA-Code, Sie geben ihn ein, und der Proxy leitet auch diesen weiter. Sie bestehen die Pruefung, und die echte Seite tut, was sie immer tut: Sie gibt ein Session-Token zurueck, das Cookie, das Sie angemeldet haelt. Der Proxy schnappt sich dieses Token, und nun kann der Angreifer es erneut abspielen und direkt in Ihr Konto spazieren, ohne Passwort oder Code. Ihre MFA hat ihre Aufgabe erfuellt, die Angreifer haben lediglich die dabei erzeugte Session abgefangen.
Andere Wege, MFA auszuhebeln
AiTM ist die Schlagzeile, aber nicht der einzige Weg:
- push-Ermuedung (MFA bombing): Der Angreifer, der Ihr Passwort bereits hat, spammt Ihr Telefon mit Bestaetigungsaufforderungen, bis Sie aus Gewohnheit oder Genervtheit auf „bestaetigen" tippen.
- SIM swapping: Ein Angreifer uebernimmt Ihre Telefonnummer und empfaengt Ihre SMS-Codes, weshalb MFA per Textnachricht die schwaechste Art ist.
- Device-Code-phishing: Sie werden dazu verleitet, eine Anmeldung zu bestaetigen, die in Wirklichkeit das Geraet des Angreifers autorisiert.

Warum passkeys sich nicht phishen lassen
Das ist die gute Nachricht und die eigentliche Loesung. Ein passkey, aufbauend auf den Standards FIDO2 und WebAuthn, ist kryptografisch an die exakte Domain gebunden, fuer die er erstellt wurde. Wenn ein phishing-Proxy Sie auf eine aehnlich aussehende Seite schickt, wird der passkey sich nicht authentifizieren, weil die Domain nicht uebereinstimmt. Es gibt keinen Code vorzulesen und nichts, was ein Proxy weiterleiten koennte. Genau diese Domain-Bindung kann AiTM nicht umgehen, weshalb passkeys als phishing-resistent beschrieben werden und weshalb Google, Apple, Microsoft und Banken die Menschen in ihre Richtung draengen. Unser Leitfaden dazu, ob Passkeys sicher sind, geht tiefer.
Was Sie tatsaechlich tun sollten
- Lassen Sie MFA ueberall aktiviert. Sie blockiert nach wie vor die ueberwaeltigende Mehrheit der Angriffe. Siehe was 2FA ist, falls Sie die Grundlagen brauchen.
- Verzichten Sie auf SMS, wo Sie koennen. Bevorzugen Sie eine Authenticator-App oder einen Hardware-Sicherheitsschluessel gegenueber Codes per Textnachricht.
- Uebernehmen Sie passkeys bei jedem Konto, das sie anbietet. Das ist die groesste einzelne Aufwertung gegen AiTM.
- Bestaetigen Sie nie eine Aufforderung, die Sie nicht gestartet haben, und begegnen Sie unerwarteten Anmeldeseiten mit Misstrauen. Das ist gewoehnliches Phishing mit schaerferer Kante.
- Nutzen Sie einen Passwort-Manager. Er fuellt Anmeldedaten nur auf der echten Domain aus. Auf einer aehnlich aussehenden Seite ist das schlichte Ausbleiben des Autofill also eine leise, aber verlaessliche Warnung.
Fazit: Ja, gewoehnliche MFA kann umgangen werden, und 2026 wird sie oft umgangen. Doch die Antwort ist nicht, sie aufzugeben. Lassen Sie MFA aktiviert, verzichten Sie auf SMS und wechseln Sie zu passkeys, die genau die Tuer schliessen, durch die adversary-in-the-middle-phishing geht.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Ein Manager mit integrierter 2FA & Passkeys → NordPassTOTP & Passkeys speichern · XChaCha20 · Gratis-Tarif→Häufig gestellte Fragen
Kann MFA umgangen werden?
Ja, manche Arten schon. Die gaengigen Formen der Multi-Faktor-Authentifizierung (SMS-Codes, Codes aus Authenticator-Apps und push-Bestaetigungen) lassen sich durch modernes phishing aushebeln, und 2026 tun Angreifer genau das in grossem Umfang. Das bedeutet aber nicht, dass MFA nutzlos ist: Sie blockiert nach wie vor die ueberwaeltigende Mehrheit der Angriffe, besonders reine Passwort-Angriffe. Der entscheidende Punkt ist, dass nicht jede MFA gleich ist. Gewoehnliche MFA kann umgangen werden, waehrend phishing-resistente MFA (passkeys und Hardware-Sicherheitsschluessel) nicht umgangen werden kann, weil sie an die echte Website gebunden ist und nicht an eine gefaelschte weitergereicht werden kann.
Wie umgehen Hacker 2FA?
Die wichtigste Methode 2026 ist adversary-in-the-middle-phishing (AiTM). Der Angreifer betreibt eine gefaelschte Anmeldeseite, die als Live-Proxy zur echten Seite fungiert. Sie geben Ihr Passwort und Ihren 2FA-Code auf der gefaelschten Seite ein, diese leitet beides an die echte Seite weiter, und sobald Sie die Pruefung bestehen, stellt die echte Seite ein Session-Token aus, das der Proxy stiehlt. Der Angreifer spielt dieses Token erneut ab und ist angemeldet, ohne Ihr Passwort oder Ihren Code je wieder zu brauchen. Weitere Methoden sind push-Benachrichtigungs-Ermuedung (Bestaetigungsaufforderungen so lange spammen, bis Sie auf Ja tippen) und SIM swapping, um SMS-Codes abzufangen.
Heisst das, ich sollte MFA nicht mehr nutzen?
Nein, nutzen Sie sie unbedingt weiter. MFA stoppt nach wie vor die grosse Mehrheit der Kontouebernahmen, besonders die automatisierten Angriffe, die auf gestohlenen oder wiederverwendeten Passwoertern beruhen. Sie abzuschalten wuerde Sie weit angreifbarer machen, nicht weniger. Die richtige Reaktion ist, die Art der MFA aufzuwerten, die Sie verwenden: bevorzugen Sie Authenticator-Apps oder Hardware-Schluessel gegenueber SMS und wechseln Sie ueberall dort zu passkeys, wo sie angeboten werden, denn diese schliessen die Luecke, die AiTM-phishing ausnutzt.
Warum lassen sich passkeys nicht phishen?
Ein passkey (aufbauend auf FIDO2 und WebAuthn) ist kryptografisch an genau die Website-Domain gebunden, fuer die er erstellt wurde. Wenn ein Angreifer Sie auf eine gefaelschte, aehnlich aussehende Seite schickt, reagiert der passkey einfach nicht, weil die Domain nicht uebereinstimmt. Es gibt keinen Code einzugeben und nichts, was ein Proxy weiterreichen koennte. Diese Domain-Bindung macht passkeys phishing-resistent, und deshalb draengen grosse Anbieter alle in ihre Richtung.
Wie schuetze ich mich vor MFA-Umgehung?
Nutzen Sie MFA ueberall, aber werten Sie sie auf: schalten Sie SMS zugunsten einer Authenticator-App oder eines Hardware-Schluessels ab und uebernehmen Sie passkeys bei jedem Konto, das sie unterstuetzt (Banken, Google, Apple, Microsoft und mehr). Bestaetigen Sie nie eine Anmeldeaufforderung, die Sie nicht selbst gestartet haben, und seien Sie bei jeder unerwarteten Anmeldeseite misstrauisch. Ein Passwort-Manager hilft ebenfalls: Er fuellt Ihre Anmeldedaten nur auf der echten Domain aus. Wenn Sie also auf einer aehnlich aussehenden phishing-Seite landen, ist das stille Ausbleiben des Autofill ein nuetzliches Warnzeichen.

